救命啊，当局正在索要信息！

fabiha01

在公司或其他负责机构的日常生活中，警察或检察官等当局经常会要求提供有关客户、员工或其他受影响人员的信息。通常，请求机构的权威地位被认为非常强大，以至于请求的接收者会迅速做出反应，而没有充分审查数据保护方面。但在这种时候就会出现一个问题：这些个人数据可以被传递出去吗？数据传输是否有有效的法律依据？根据数据保护法，信息的范围是否存在问题？

什么是信息请求？应该考虑什么？
官方信息请求是当局向公司或其他负责机构提出的正式请求（根据 GDPR 第 4 条第 7 款）。该请求旨在向当局披露数据主体（或“被告”）的某些个人数据，以支持调查或预防危险等官方任务。例如，如果检察官怀疑某公司的客户涉嫌欺诈，并要求公布某些交易数据以供调查，则可能出现这种情况。

在满足此类信息请求之前，第一步应该是检查该请求是否有足够的可能性是真实的。尽管 GDPR 并不要求进行这种验证，但防止可能的数据保护风险符合相应控制者的利益。此外，彻底审查事实可以防止陷入欺诈性的信息请求。因此，始终需要检查指定的权限是否存在、联系方式和地址详细信息是否与公开的信息相符、是否已指定联系人以及信息请求中是否注明了文件编号或参考编号。如果上述任何信息缺失或研究结果出现矛盾，应使用官方可访问的联系方式联系主管部门。这样，就可以验证请求的真实性并防止转发到虚假的联系方式。

通过电话或口头请求信息时要特别小心。责任人不应迫于压力，也不应在谈话中透露任何信息。最初，应仅在内部记录此事，并通过邮寄方式向当局索取官方文件。这确保在进行任何数据传输之前请求是合法且真实的。书面信息请求也用于记录目的和可验证性。

有关部门是否有权限查询这些信息？
第二步是审查该机构是否确实有权归还文件。为此，必须告知责任人披露的相关法律依据，例如《刑事诉讼法》、《最低工资法》或《打击未申报就业法》，以及指控或连贯的理由。

然而，如果主管部门根据数据主体的所谓同意提出信息请求，则控制者应通过提交证明（例如以副本的形式）来获取同意的证据。

至关重要的是，控制者能够根据所提供的信息可靠地了解数据查询的必要性。该信息还提供了有关请求是否属于请求机构职责范围的信息。这里没有必要进行深入检查。

然而，如果请求中没有法律依据和/或所指控的罪行没有以连贯或一致的方式提出，意大利商业传真列表 则可能表明请求不可受理。在这种情况下，控制者应从请求机构获取更多信息，以确保请求的合法性。

传输是否允许？
控制者只有在有法律许可标准或获得数据主体同意的情况下才可以处理或传输个人数据。根据艺术的数据保护原则。 5 必须始终考虑 GDPR。

数据主体的唯一可识别性
在官方信息请求的情况下——类似于根据艺术提出的传统信息请求。 15 GDPR——至关重要的是，这些信息能够清楚地识别数据主体。例如，如果由于姓名重复而无法清楚识别相关人员，这一点就尤其重要。在这种情况下，请求机关应提供额外的身份信息。这确保了控制者只传递实际相关人员的数据。

法律依据
控制者不能（单独）使用信息请求中提到的标准作为向当局传输信息的法律依据。汉堡监管机构在其2023年活动报告中也强调了这一观点。该机构在声明中表示，虽然在调查背景下的信息请求可以依据《刑事诉讼法典》（StPO）第161条，但该条款仅适用于检察院和作为检察院调查员的警察人员请求和收集数据的法律依据。因此，私营部门的负责人不能依赖这一点。

在此背景下，控制者或私人机构需要有自己的传输法律依据：

如果信息请求附有法院搜查令，则传输可以基于 GDPR 第 6 条第 1 款 c 项进行，因为在这种情况下有合作的法律义务。

或者，如果控制者的合法利益客观上超过数据主体的合法利益，那么 GDPR 第 6 条第 1 款 f 项也是可行的。

根据 GDPR 第 50(9) 条的规定，如果将与同一刑事犯罪或同一公共安全威胁有关的相关个人数据传输给主管当局，则可能存在合法利益。措辞暗示立法机关一般将起诉和侦破犯罪的利益置于当事人值得保护的利益之上。上述理由是否适用于相应的信息请求必须根据具体情况进行审查。

目的改变
此外，处理数据时不能忽视目的限制原则。根据 GDPR 第 5 条第 1 款 b 项，这意味着为特定、明确和合法目的收集的数据不得以与这些目的不相符的方式进一步处理。

因此，例如在雇佣关系背景下（根据第 6（1）（b）条或 BDSG 第 26 条）收集了所请求数据的控制者不得简单地将这些数据传递给检察官办公室，因为这构成了第 6 条含义内的目的变更。 GDPR 第 6（4）条。但是，第24款第1段没有。 1 如果为了避免对国家或公共安全的威胁或起诉刑事犯罪有必要，BDSG 允许非公共机构出于其他目的处理个人数据。因此，可以说，为此目的进行进一步处理通常是允许的。

传输数据的范围
为了遵守第 14 条规定的数据最小化原则。根据 GDPR 第 5 (1) (c) 条规定，个人数据只能在为实现指定目的所绝对必要的范围内进行传输和处理。

因此，在请求信息时，重要的是进行合理性检查，以评估所请求的数据是否确实有必要。如果您仍有任何疑问，我们建议您从当局获取更多信息。

根据所提供的信息，可以决定是否以及在多大程度上将数据传输给当局。如果对必要性有任何疑问，应联系数据保护官。

如果向当局提供摘录或整份文件，则必须将有疑问的段落涂黑以确保安全。这使得控制者能够避免数据保护风险。在这里，控制者也负责确保执行符合数据保护的处理——无论权威机构是否启动了数据的处理或传输。违反 GDPR 还可能导致巨额罚款。

是否必须告知数据主体有关向主管部门传输数据的情况？
根据 GDPR 第 13 条第 3 款规定，如果控制者打算将个人数据进一步处理用于收集数据目的以外的其他目的，则控制者应在进一步处理之前向数据主体提供有关该其他目的的信息。

如果当局以法律依据为由禁止与有关人员进行沟通，则可能存在例外。例如，如果信息会危及调查，则可能出现这种情况。

因此，如果当局尚未对此发表评论，控制者应该主动询问是否可以告知被告有关处理的情况。如果是这种情况，还应要求当局提供书面证明以供记录。

结论
负责机构，特别是公司，应该实施标准化流程来处理官方信息请求。还应通过培训让员工意识到这一点。这样做的目的之一是确保相关部门和关键职能部门（例如法律部门或数据保护官）尽早参与流程，并确保请求能够合法及时地得到处理。 此外，负责机构应始终意识到，信息请求可能过于广泛，甚至根据数据保护法不予受理。基于此背景以及符合数据保护法规的数据处理最终取决于控制者的事实，每个传入的信息请求都应逐案审查。